Quiero actualizar este proyecto a la versión 10 y no se si se va a presentar el mismo problema.

Buongiorno Aleksis,

probabilmente vi è un bot spammer che scrive sul tuo blog.

La protezione capcha blocca la maggior parte di spammer ma non il 100%.

E' anche possibile che tu abbia uno spammer sul tuo server.

Prova a controllare eventuali malware sul server o script nel sito.

Fammi Sapere.

***** Google Translation:

HolaAleksis,

es probable que hayaun robotspammerque escribeen sublog.

La proteccióncapchabloqueala mayoríade losspammers, perono 100%.

Es tambiénposible queusted tiene unspammeren su servidor.

Trate dedetectarmalware en elservidor oscript en elsitio.

Déjame saber.

Esta es la respuesta que he recibido por parte de mi empresa de servicio hosting:

Apreciado Aleksis,

Usted debe tener especial cuidado cuando utilice cms, debe mantenerlos siempre actualizados y tratar de utilizar unicamente plugins y themes de fuentes confiables, los plugins y themes nulled son una puerta abiera a virus y todo tipo de infecciones, usted debe alojar en su espacio web unicamente el contenido de su sitio web, borre los themes y plugins que no utilice además de cualquier otro tipo de archivos, si necesita alojar otro tipo de contenido le recomendamos utilizar de manera gratuita http://db.tt/ilCM9S1a

Ellos creen que he conseguido un template nulled.

Recomiendan lo siguiente:

I) onexiones más seguras con FTPES o FTP SSL/TLS

Recientemente algunos clientes han experimentados problemas de vulneración en sus contraseñas de acceso FTP, ahora queremos enseñarle la manera de agregar seguridad a sus conexiones para prevenir este tipo de problemas.

Para esto nos centraremos en el protocolo FTPES o también conocido como FTP SSL/TLS que agrega una capa SSL/TLS justo debajo del protocolo FTP estandar.

Nosotros utilizaremos el método AUTH TLS o FTPS Explícito, es una de las formas de FTPS, en este método la seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define FTP sobre TLS.

El cliente se conecta al puerto 21 del servidor y comienza una sesión sin cifrar FTP como normal, pero pide que la seguridad TLS sea usada y realiza la negociación apropiado antes de enviar cualquier dato sensible.

Con este método la transferencia de archivos se cifra, agregando seguridad a la misma. El cifrado puede ser a nivel datos, a nivel comandos o ambos.

Para poder utilizar este protocolo tan solo debemos realizar pequeños ajustes en nuestro cliente FTP y como vimos antes no es necesario cambiar el número de puerto FTP.

II) 4 sugerencias básicas para evitar problemas de seguridad en tu CMS

Cada día crecen los reportes de fallas de seguridad que son originados por los CMS (Content Management System – Sistema de Gestión de Contenidos).

Para que tengas una idea tan solo en 2011 fueron reportadas 311 vulnerabilidades afectando al gigante wordpress y según reportes ya van 19+ vulnerabilidades criticas en 2012, por su lado joomla ha tenido diversos problemas de seguridad afectando las bases de datos.

La primera recomendación que podemos hacer para evitar estos problemas sería utilizar un sistema propio, muchos pensarán que estamos en contra de los CMS, pero eso no es cierto, es más, este blog trabaja sobre wordpress y muchos sitios importantes han cambiado su plataforma hacia este sistema, pero estoy seguro que los más antiguos recordarán cómo nunca antes, o al menos pocas veces (cuando tenías tu propio código) tu sitio web había tenido problemas con virus, etc.

Los CMS no son malos, el problema es no saber utilizarlos, por ejemplo muchos usuarios descargan e instalan cientos de plugins y themes sin conocer su origen o procedencia, otros piensan que son más inteligentes utilizando themes o plugins nulled.

Vamos al punto y mencionemos algunos consejos:

1.- Mantén siempre actualizado tu CMS a la última versión estable disponible.
2.- Utiliza los plugins que son extrictamente necesarios y que conoces su procedencia.
3.- Instala unicamente el theme que utilices.
4.- Nunca utilices scripts/themes/plugins nulled, es malo para el creador y principalmente para ti, además si eres descubierto tu cuenta puede y será suspendida por el proveedor.

Eso es todo? Existen muchas otras recomendaciones, pero cumplir con lo básico te ayudará a mantenerte alejado de los problemas.

Se podría decir que el 99% de los casos de vulnerabilidad se debe a problemas con el usuario y no con el proveedor de alojamiento, no nos lavamos las manos, sin embargo, los problemas ocurren cuando el usuario no cumple con los minimos consejos de seguridad que hemos indicado antes.

Luego prepararemos un post con tips para limpiar tu sitio luego de una vulnerabilidad.

III) Ataque global a sitios con WordPress

Desde hace ya algunas semanas se están llevando ataques distribuidos hacia sitios webs que trabajan con WordPress, la intención es vulnerar la cuenta de administrador con el fin de inyectar código malicioso y causar daño a otros equipos.
Para prevenir que su sitio web o el de sus clientes se vea afectado, le recomendamos tomar nota de los siguientes puntos:

1. Mantener su instalación de Wordpres, plugins/themes siempre actualizados
 
2. Instalar plugins que ayudan a la seguridad, puede revisarlos aquí
 
3. Utilizar una contraseña de administrador segura
 
4. Tomar en cuenta los consejos de seguridad listados en:
   http://codex.wordpress.org/Hardening_WordPress

Existen sugerencias adicionales que podrán ayudar a mejorar la seguridad de su sitio web con WordPress

1. Desactivar el comando DROP para el usuario de la base de datos
 
2. Eliminar los archivos README y LICENSE del espacio web (revelan información acerca de la versión de WordPress utilizada)
3. Mover el archivo wp-config.php hacia otro directorio y guardarlo con los permisos 400
 
4. Prevenir la lectura del archivo .htaccess
 
5. Restringir el acceso a wp-admin (utilice solamente algunas IPs)
 
6. Puede utilizar otros plugins para mejorar la seguridad entre ellos: wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence, el plugin http://wordpress.org/extend/plugins/better-wp-security/puede ayudarle en gran parte de los casos

También es recomendable el uso de Cloudflare que tiene una versión gratuita y ayudará a filtrar la mayoría de los ataques hacia su sitio web.

Esperamos que pueda tomar en cuenta y seguir estos consejos de seguridad.